Actualités

WhatsApp : données en vente sur le web

25.11.2022 - Selon des informations parues dans différents médias, environ 550 millions de données d'utilisateurs du service de messagerie WhatsApp seraient proposées à la vente sur le darknet. Ce lot de données contiendrait des informations de près de 1,5 million d’usagers suisses. Pour l’instant, il n’est pas possible de savoir qui est concerné par cette fuite. En l'état actuel des connaissances, seuls les numéros de téléphone auraient été dérobés. 

Ces données dérobées pourraient être utilisées par des inconnus pour des contacts non sollicités avec les utilisateurs de WhatsApp. Le PFPDT recommande donc la prudence face aux messages de chat provenant de numéros inconnus – en évitant notamment de cliquer sur les liens figurant dans ces messages. De même, en cas de transfert d'argent, il est important de s’assurer au préalable de l’authenticité de l’auteur du message. Si ce dernier n'est pas fiable, il est préférable de supprimer le message et de bloquer le numéro.

CM de football au Qatar - le PFPDT recommande aux voyageurs d'utiliser un téléphone d’appoint

18.11.2022 - Le Qatar exige des visiteurs de la Coupe du Monde de football qu'ils installent les applications « Ehteraz » et « Hayya to Qatar 2022 » pour entrer dans le pays. Le PFPDT estime que ces deux applications présentent des risques importants en matière de protection des données.

Le PFPDT approuve le fait que l'administration fédérale ait bloqué l'installation de ces applications sur les smartphones de service de son personnel.

De manière générale, le PFPDT recommande aux habitants de Suisse de renoncer à emporter des supports de données sur lesquels sont enregistrés des données personnelles sensibles lorsqu'ils se rendent dans des pays qui, comme le Qatar, ne disposent pas d'une protection des données comparable à celle de la Suisse.

Ainsi, le Préposé conseille aux quelque 2000 personnes qui se rendront de la Suisse au Qatar d'utiliser un smartphone privé bon marché. De tels appareils sont disponibles dans le commerce pour moins de 100 francs. Une autre possibilité consiste à emporter un ancien téléphone remis à zéro (restauration d’usine).  

À l’heure actuelle, le PFPDT ne dispose d'aucune information fiable dans quelle mesure la carte Hayya pourrait être imprimée et servir lors de l’entrée dans le pays ainsi que pour accéder aux manifestations. 

Déclarer des fichiers - déclarer un registre (DataReg)

17.11.2022 - Le régime de la déclaration des fichiers dans le registre du PFPDT va changer lorsque la nouvelle loi fédérale sur la protection des données (LPD) entrera en vigueur le 1er septembre 2023. À partir de cette date, seuls les organes fédéraux devront déclarer au PFPDT leurs fichiers.

Dans l'intervalle, le PFPDT tient deux registre : le nouveau registre DataReg pour les déclarations des organes fédéraux, conformément à la nouvelle LPD, et le registre existant pour les déclarations des personnes privées, conformément au droit en vigueur.

Plus d'information

European Union-U.S. Data Privacy Framework (EU-U.S. DPF)

07.10.2022 - Le PFPDT a pris connaissance du « factsheet »  publié par les Etats-Unis concernant le « Data Privacy Framework (DPF) » et est en train de l’examiner.

Oracle: les technologies de traçage impactent les droits de la personnalité des internautes

27.09.2022 - Dans une plainte déposée aux États-Unis le 19 août 2022 contre l’entreprise « Oracle America Inc. », celle-ci est accusée d’avoir commis des actes graves en relation avec le traçage non autorisé d’utilisateurs d’Internet. Concrètement, il est reproché à Oracle d’avoir collecté les données de cinq milliards d’internautes à l’aide de technologies de traçage et de les avoir rassemblés dans une base de données. L’entreprise aurait ainsi analysé et exploité les informations collectées afin de créer un fichier de données sur chacune de ces personnes. Outre le nom et l’adresse, tout mouvement de navigation sur Internet aurait été enregistré, comme le comportement d’achat, les données GPS ou les informations de santé, et ce sur tous les appareils utilisés. Oracle aurait mis en œuvre pour ce faire différentes technologies, notamment des « cookies » ou des « pixels » ainsi que les scripts Java intégrés aux sites web et aux applications.

Conséquences pour la population suisse

Le PFPDT analyse actuellement sous l’angle d’éventuelles atteintes à la personnalité en Suisse les reproches formulés dans la plainte. On peut d’ores et déjà constater qu’Oracle met à la disposition des exploitants de sites web et aux fournisseurs d’applications des « cookies », des « pixels » et des scripts Java. L’intégration de ces éléments dans les pages web permet de collecter des informations sur les internautes à travers les différents sites web et les applications mobiles et de les transmettre à Oracle. Les premières investigations du PFPDT ont montré que les technologies de traçage mentionnées dans la plainte sont également utilisées largement en Suisse et que les personnes résidant dans ce pays sont elles aussi concernées par ce traçage effectué par Oracle.

Il s’agit maintenant de déterminer dans quelle mesure les exploitants de sites web et les fournisseurs d’applications suisses contreviennent aux principes de la protection des données applicables en Suisse en intégrant dans leurs produits des technologies de traçage. Sont ici concernés en premier lieu les principes de transparence et de proportionnalité et l’obligation de disposer d’un consentement exprès pour établir des profils de la personnalité et traiter des données sensibles.

Mesures de protection contre le traçage indésirable dans l’espace numérique

Les exploitants de sites web et les fournisseurs d’applications sont tout d’abord tenus de vérifier quelles technologies ils utilisent et si celles-ci peuvent éventuellement suivre les visiteurs de leur site web ou les utilisateurs de leurs applications mobiles. Si tel est le cas, ils doivent soit supprimer la technologie de traçage, soit informer les utilisateurs de manière claire et compréhensible de ce que leurs données sont traitées, de la finalité de ce traitement et des possibilités dont ils disposent pour s’y opposer, et de ce que leurs données peuvent éventuellement être transmises à l’étranger. Ils doivent en outre proposer aux utilisateurs une possibilité de s’opposer simplement à l’utilisation de leurs données (opt-out ou fonctionnalité prédéfinie telle que Do not track). Comme le traçage constitue une atteinte à la personnalité des utilisateurs, ceux-ci doivent donner leur consentement exprès au traçage (opt-in) en cas d’établissement de profils de la personnalité ou de traitement de données sensibles.

Les utilisateurs d’Internet peuvent se protéger contre un traçage numérique non souhaité en choisissant un navigateur Internet respectueux de la protection des données et en réglant en conséquence ses paramètres. Ils peuvent également utiliser des bloqueurs de publicité (ad blocker) ou empêcher la collecte de leurs données au moyen de modules complémentaires (add-ins).

Les exploitants de bases de données contenant des données personnelles doivent non seulement respecter les principes de la protection des données, mais également toujours garantir les droits des personnes concernées. Chacun doit ainsi pouvoir demander au maître du fichier (ici l’exploitant du site web ou de l’application) quelles données personnelles le concernant sont traitées, dans quel but et qui peut y avoir accès. Et s’il s’oppose au traitement de ses données, il doit pouvoir demander qu’elles soient effacées.

Le PFPDT a pour l’heure pris acte des graves reproches formulés dans la plainte et les examine, ainsi que les conséquences que l’affaire pourrait avoir pour la Suisse. Par courrier du 2 septembre 2022, il a interpellé «Oracle Software (Suisse)» et se réserve le droit de prendre, cas échéant, des mesures supplémentaires.

Recommandations du PFPDT dans le cadre du principe de la transparence

25.08.2022 - Dans le cadre du principe de la transparence, le PFPDT a émis les recommandations suivantes:

08.07.2022 - Attaques par bourrage d’identifiants: rapport et lignes directrices

08.07.2022 - Le dernier rapport des autorités internationales de protection des données (l’Assemblée mondiale pour la protection de la vie privée) consacré aux attaques par bourrage d’identifiants (en anglais credential stuffing) tire la sonnette d’alarme sur ce type de cyberattaque qui fait peser une menace croissante sur les données personnelles. Le rapport s’accompagne de lignes directrices qui détaillent les mesures de sécurité qu’il est possible de prendre pour se protéger. 

Les attaques par bourrage d’identifiants (en anglais « credential stuffing ») sont un type de cyberattaque qui exploite l’habitude qu’ont de nombreux internautes d’utiliser les mêmes combinaisons d’identifiants, adresses de courriels et de mots de passe pour différents services en ligne. Lors de ces attaques, menées de façon automatique et souvent à grande échelle, des escrocs réutilisent des données d’accès volées sur un site Internet pour tenter de se connecter à toutes sortes d’autres plateformes en ligne. 

Publié sous l’égide de l’Assemblée mondiale pour la protection de la vie privée (AMVP) par un sous-groupe de travail du Groupe de travail sur la coopération internationale en matière d’application de la loi (IEWG) composé du PFPDT et des autorités de protection des données du Royaume-Uni, du Canada, de Gibraltar, de Jersey et de la Turquie, le rapport souligne la recrudescence de ce type d’attaques et livre des conseils sur la manière dont les organisations et le grand public peuvent identifier, prévenir et réduire le risque d’en être victime.

Les lignes directrices destinées aux entreprises visent à leur permettre de cerner les menaces que représentent les attaques par bourrage d’identifiants pour les données personnelles en leur possession et à expliquer les mesures qu’elles peuvent prendre pour atténuer les risques en la matière. Parmi ces dernières, le rapport souligne que l’authentification multifactorielle est le moyen le plus efficace de protéger les comptes en ligne contre les attaques par bourrage d’identifiants.

Bien que ces lignes directrices ne constituent pas des obligations légales pour tous les pays, elles peuvent aider les organisations à se conformer aux lois en matière de protection des données et des renseignements personnels, qui les obligent à protéger les renseignements personnels contre les menaces que représentent les attaques par bourrage d’identifiants.

L’AMVP, qui regroupe plus de 130 autorités de protection des données dans le monde, est l’une des instances internationales les plus importantes pour les autorités chargées de la protection des données et de la vie privée.

Le rapport et les lignes directrices peuvent être consultés ici :

Dossier mesvaccins.ch

13.06.2022 - Externalisation de données personnelles par la Suva vers un cloud de Microsoft

13.06.2022 - En raison de divergences de vues partielles sur le plan juridique, le PFPDT suggère à la Suva de réexaminer l’externalisation des données personnelles vers un cloud exploité par le groupe américain Microsoft.

Le 10 décembre 2021, la Suva a spontanément soumis au PFPDT un dossier intitulé « Risikobeurteilung Projekt Digital Workplace M365 » (en français « Évaluation des risques liés au projet Digital Workplace M365 »). Il s’agissait d’un projet qui concernait le transfert, alors imminent, de données personnelles de la Suva, traitées jusqu’alors on premise (c’est-à-dire sur sa propre infrastructure), dans un centre de calcul exploité sur le territoire suisse par le groupe américain Microsoft.

Après étude du dossier, qui lui a été remis sur une base volontaire, le Préposé salue la décision prise par la Suva de soumettre son projet d’externalisation des données à un examen sous l’angle de la protection des données. Il suggère à la Suva de réévaluer son projet dans les meilleurs délais.

Compte tenu de la large diffusion des produits et prestations de l’entreprise Microsoft tant au sein  du secteur privé que des administrations publiques suisses, le projet d’externalisation précité présente un intérêt pour un large public, raison pour laquelle le Préposé a décidé de publier sa prise de position sommaire sur le projet.

D’autre part, comme il n’existe pas encore en Suisse de jurisprudence relative à ce type d’externalisation, le PFPDT publie également, avec l’autorisation de la Suva, la réponse de cette dernière, qui fait apparaître certaines divergences d’opinions.

En fonction de l’évolution de la situation et du droit, le Préposé se réserve le droit d’intervenir ultérieurement d’office en sa qualité d’autorité de surveillance.

Rencontre du PFPDT avec la délégation tunisienne à Berne

12.05.2022 - Le Préposé fédéral à la protection des données et à la transparence, M. Adrian Lobsiger, a rencontré le 11 mai 2022, à Berne, ses homologues tunisiens.
Leurs échanges ont principalement porté sur les différents cadres législatifs et sur les enjeux liés à la numérisation croissante de la société. La coopération internationale joue un rôle incontournable dans les activités du PFPDT et cette rencontre montre l'importance qui lui est accordéedifférents cadres législatifs et sur les enjeux liés à la numérisation croissante de la société. 

Piratage de cabinets médicaux en Suisse romande

31.03.2022 - La veille, il a été divulgué que plusieurs cabinets médicaux en Suisse romande avaient été visés par des pirates informatiques, lesquels ont publié de très nombreux dossiers de patients sur le Darknet. Le PFPDT est en contact avec les cabinets en question et attend à ce que les patientes et patients concernés soient informés de manière complète et transparente. Cet incident pointe une fois de plus que les données médicales sensibles en Suisse ne sont pas suffisamment sécurisées.

Le 30 mars dernier, plusieurs médias romands ont rapporté qu'une grande quantité de données médicales avait été publiée sur le Darknet. Le PFPDT est en contact avec les cabinets médicaux concernés et travaille en particulier à ce que les patientes et patients soient correctement informés. Les cabinets visés ont déjà pris les premières mesures pour palier à d'éventuels déficits en matière de protection et de sécurité des données. 

Il s’agit là d’une nouvelle alerte qui montre que les données médicales sensibles ne font souvent pas l’objet d’une protection suffisante en Suisse. Le PFPDT espère que les médecins et les représentants de la branche reconnaîtront ainsi l'urgence d'agir en ce domaine.

Update Mitto AG

23.12.2021 - Dans le cadre de l’enquête préliminaire qu’il a ouverte, le PFPDT a pris contact avec Mitto AG et les opérateurs de téléphonie mobile de Suisse.

Ces derniers ont confirmé l’existence d’une collaboration avec Mitto AG, tout en précisant que des mesures techniques de protection empêchaient tout accès illicite aux données personnelles. Compte tenu de ces premiers retours d’information, le PFPDT ne dispose donc pour l’instant d’aucun indice qui donnerait à penser que des abus auraient été commis au détriment de la population suisse. 

Le PFPDT recevra dans les prochaines semaines des informations supplémentaires et plus précises sur les faits incriminés. Après évaluation de ces informations, nous déciderons de la marche à suivre et nous informerons le public.

Communiqué de presse du 07.12.2021

Communication des données des membres de sociétés de tir à un fournisseur de cartes de crédit

15.11.2021 - Début mai, la Fédération sportive suisse de tir (FST) a envoyé à plus de 50 000 tireurs licenciés une nouvelle carte de membre pouvant également servir de carte de crédit. De nombreux tireurs ont contacté le PFPDT pour savoir si la communication de leurs données dans ce cadre était légale. 

Le PFPDT a pris contact avec la FST, qui s’est montrée très coopérative.

Le PFPDT a établi qu’il s’agissait en l’occurrence non pas d’un simple traitement de données dans le but d’établir des cartes de licence, mais aussi d’une communication de ces données au fournisseur de cartes de crédit, lequel pourra les utiliser à ses propres fins. 

Cette communication doit donc respecter les principes de la loi fédérale sur la protection des données, notamment en matière de finalité et de transparence. Pour ce qui est de la finalité, les statuts de la FST prévoient depuis 2016 la possibilité de communiquer les données des membres à des fins commerciales ainsi que le droit de ces derniers de s’y opposer. La FST a donc bien créé les bases nécessaires à l’utilisation commerciale des données des membres. 

Par contre, il est problématique que les informations à ce sujet ne figurent explicitement que dans les statuts de la FST. Les statuts des 36 membres de la fédération et ceux des plus de 2000 sociétés restent dans la plupart des cas muets sur ce point et se contentent de renvoyer de manière générale aux statuts de la FST. Il est par conséquent difficile pour les membres d’avoir connaissance de ces informations et, le cas échéant, de s’opposer à la communication de leurs données. Le PFPDT a donc jugé que la communication des données au fournisseur de cartes de crédit par la FST n’était pas conforme au principe de transparence.

Il a donc été convenu avec la FST que cette dernière informerait une nouvelle fois les tireurs via son site Internet, sa newsletter et son magazine de la communication de leurs données à des fins commerciales et que les personnes qui désirent s’y opposer pourraient le faire simplement en le faisant savoir à la fédération. 

La FST s’assurera ensuite que le fournisseur de cartes de crédit traite séparément les données des personnes qui ne souhaitent pas utiliser leur carte de membre comme carte de crédit et ne les utilise pas à ses propres fins, par exemple pour des activités de marketing ou de promotion. Quant aux personnes qui ne veulent absolument pas d’une carte de membre qui soit aussi une carte de crédit, elles pourront continuer à participer aux événements en indiquant leur numéro de membre et en présentant une pièce d’identité. 

Dossier transmission de données à l'étranger

Dossier Corona

Dossier nouvelle loi fédérale sur la protection des données (nLPD)

Le point de vue du PFPDT

05.03.2021 / mise à jour le 27.10.2022 - Le secteur privé et les autorités fédérales devront adapter le traitement des données personnelles aux nouvelles dispositions prévues par la révision de la loi fédérale sur la protection des données. Le PFPDT met en évidence ci-après les principales nouveautés dont ils devront tenir compte à cette fin.

(Le document intégral est joint ci-dessous en format pdf)

Réseaux sociaux victimes de fuite de données

13.04.2021 - Après Facebook, c'est au tour de LinkedIn d'être rattrapé par une fuite massive de données personnelles. D’après le site Cybernews, les données de 500 millions d’utilisateurs du réseau social professionnel sont en vente sur un forum spécialisé. Il s’agit notamment des identifiants, des noms complets, des adresses électroniques, des numéros de téléphone, des liens vers d'autres profils LinkedIn et vers ceux d'autres réseaux sociaux.

Selon les dernières nouvelles, Clubhouse est également touché par une fuite.

Le PFPDT suit l'évolution de la situation et a pris contact avec ses homologues étrangers européens.

L’autorité irlandaise de protection des données est l’autorité chef de file dans l'UE pour ces deux sociétés, leurs sièges sociaux européens étant établis en Irlande, et celle-ci a publié un communiqué de presse sur la fuite de données Facebook et sur son action.

L'autorité italienne de protection des données, il Garante, a également contacté les deux réseaux sociaux afin de savoir s'ils avaient l'intention de mettre à disposition des utilisatrices et utilisateurs un outil leur permettant de contrôler si leurs données étaient concernées par la fuite. Elle invite de même les utilisateurs à porter une attention particulière à toute anomalie liée à leur numéro de téléphone et leurs comptes Facebook et LinkedIn (cf. lien).

Que faire en cas de fuite de données ?

En cas de fuite de données (appelée communément « data leaks »), les mesures générales suivantes peuvent aider à déterminer si vous êtes concerné et à vous protéger:

Déterminez si vous êtes concerné : 
Pour savoir si vous êtes concerné, il existe des plateformes sur Internet comme l’Identity Leak Checker de l'Institut Hasso Plattner ou le site https://haveibeenpwned.com du consultant australien en sécurité Troy Hunt. Ces services peuvent être utilisés pour vérifier si sa propre adresse électronique ou son propre numéro de téléphone ont déjà fait l'objet d'une fuite. Même si ce contrôle ne permet pas d’attester totalement la fuite, celui-ci doit être pris au sérieux.

Suivez les instructions des entreprises touchées : 
En principe, les entreprises informent elles-mêmes les personnes concernées en cas de fuite de données non autorisée de cette ampleur ou s'il existe un risque élevé pour celles-ci. Leurs instructions doivent être suivies.

Changez votre mot de passe :
Il est souvent difficile de savoir si les mots de passe ont également été volés. En cas d'indices de vol, le mot de passe doit être réinitialisé sans faute, même si une authentification renforcée est utilisée pour la connexion, par exemple au moyen d'un deuxième facteur. Le fait que les mots de passe soient cryptés ou non ne joue qu'un rôle mineur. Dans le cas de mots de passe cryptés, il faut partir du principe qu'ils peuvent être décryptés ; par conséquent, ces mots de passe doivent également être renouvelés.

Moyens de paiement : 
Si l'on ne sait pas si nos moyens de paiement ont également été compromis, il convient de les surveiller de plus près. S'il y a des signes d'abus, le moyen de paiement doit être immédiatement bloqué auprès du fournisseur.

Une prudence accrue : 
Dans le cas de Facebook, des signes indiquent déjà que les données sont utilisées à mauvais escient ; par exemple, des SMS sont envoyés avec des liens qui, lorsqu'on clique dessus, téléchargent des logiciels malveillants. Les personnes concernées doivent être particulièrement méfiantes, notamment à l'égard des e-mails et des SMS provenant d'expéditeurs inconnus.


Informations complémentaires :
14.04.2021 - DPC launches inquiry into Facebook in relation to a collated dataset of Facebook user personal data made available on the internet
Centre National pour la Cybersécurité NCSC
Clubhouse-App von Daten-Leak betroffen – das musst du wissen - watson (en allemand)
Communiqué de l'autorité irlandaise de protection des données (en anglais)
Come limitare i danni per la violazione dei dati di 36 milioni di utenti Facebook italiani - Garante Privacy (en italien)
Facebook Data Leak - 533M Users Data Leaked Online | CyberNews (en anglais)
LinkedIn Leak - 500M Records Leaked and Being Sold | CyberNews (en anglais)
Clubhouse Data Leak - 1.3M SQL Database Leaked Online | CyberNews (en anglais)

28 septembre: International Day for Universal Access to Information

28.09.2020 - La Journée internationale pour l’accès universel à l’information ou International Day for Universal Access to Information (IDUAI) a lieu aujourd’hui 28 septembre.

L'IDUAI a été créée en novembre 2015 par la Conférence générale de l'UNESCO et a été officiellement reconnue par l'Assemblée générale des Nations unies en octobre 2019.

Informations complémentaires : https://www.informationcommissioners.org/international-day-for-universal-access-to-information   

Dispositions sur le traitement des données dans la nouvelle loi sur la police douanière insuffisantes

11.09.2020 - Sous l'acronyme « loi fédérale sur les tâches d'exécution de l’OFDF », le Conseil fédéral a ouvert aujourd'hui la procédure de consultation sur un paquet législatif avec lequel il entend créer la base légale du programme de numérisation et de transformation (DaziT) de l'Administration fédérale des douanes. DaziT est un grand projet financièrement important et sensible pour la protection des données. Il prévoit notamment le transfert de l'actuelle Administration douanière et du Corps des gardes-frontières intégré à celle-ci vers un office de police douanière nouvellement créé, « l’Office fédéral de la douane et de la sécurité des frontières » (OFDF). L'ensemble du personnel de cet office sera doté de pouvoirs de police et donc de la compétence pour collecter des données de manière contraignante.

Lors de la consultation des offices, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a fait remarquer en vain à l'Administration fédérale des douanes que, selon lui, les dispositions prévues en matière de traitement des données personnelles présentent de graves lacunes. En particulier, ils manquent la certitude requise par la loi sur la protection des données, qui permettrait à la population d'évaluer le traitement étatique des données qui empiète sur leur vie privée et leur autodétermination, ainsi que les droits de protection dont ils disposent à cet égard.

Le Préposé a conseillé au Conseil fédéral que le Gouvernement et le Parlement, en tant qu'organes politiques de la Confédération, se réservent le droit de régler les principales caractéristiques du nouveau traitement des données à effectuer dans un système d’information unique de police douanière et les interfaces avec ce système. Dans sa forme actuelle, le projet de loi laisse au nouvel office de police douanière le soin de procéder au traitement des données personnelles dans son système, qui repose sur un grand nombre de tâches administratives, fiscales, policières et pénales, selon des règles largement autonomes et de relier les informations en fonction des besoins. Le rapport explicatif ne contient pas de justification convaincante de la nécessité de cette dérogation drastique à la législation douanière actuelle.

Ces lacunes juridiques dans le traitement des données sont aggravées par des lacunes factuelles dans les règlements. Par exemple, le concept «d'analyse de risque», qui est mentionné 44 fois, court comme un fil rouge à travers le projet de loi, sans que celui-ci ne précise suffisamment en quoi consiste ce mode de traitement, dans le cadre duquel le nouvel office de police douanière doit traiter des données personnelles sensibles concernant, entre autres, la sphère intime ou les opinions religieuses, idéologiques et politiques.

Sur la base de ces indications, le Conseil fédéral a chargé l'administration de réviser les dispositions relatives au traitement des données, ce qui est insinué dans les documents de la consultation. Le Préposé s'en félicite. Cependant, il a fait valoir en vain que la révision aurait dû être faite avant l'ouverture de la procédure de consultation.

Révision de la LAMal: PFPDT pour la transparence dans les modèles de prix

20.08.2020 - Le Préposé ne souscrit pas au projet du Conseil fédéral visant à exclure de la Loi sur la transparence les documents concernant les modèles de prix dans les médicaments.

Le Conseil fédéral a ouvert hier une consultation relative à une révision partielle de la loi sur l'assurance-maladie LAMal. Elle propose, entre autres, une exception restreignant l'accès aux documents en lien avec les modèles de prix et les remboursements dans le cadre de l'assurance obligatoire des soins. L'instauration d'une disposition spéciale garantissant le secret dans la LAMal va à l'encontre du principe de transparence, raison pour laquelle le Préposé s'est déjà prononcé contre ce projet au cours de la consultation des offices.

Dans ce contexte, le PFPDT considère qu'il est indispensable que le public conserve la possibilité de vérifier et de contrôler la procédure d'approbation des prix.

cf. art. 52c de la modification de la loi fédérale sur l’assurance-maladie

Informations complémentaires:
Modification de la LAMal : 2e volet de mesures visant à maîtriser les coûts

27ème Rapport d'activités du PFPDT, page 75

Update Libra

20.04.2020 - L’Association Libra informe qu’elle a soumis une demande d'autorisation à la FINMA et intensifie les travaux sur le concept de protection des données.

Le 16 avril 2020, l'Association Libra a informé le PFPDT qu'elle avait déposé auprès de la FINMA une demande d'autorisation en tant que système de paiement (cf. les informations publiées par la FINMA). Elle a également communiqué au PFPDT que les travaux sur le concept de protection des données étaient en cours et s'étaient intensifiés.

 
 
 
 
 
 
 
 
 
 
 
 
 

Mise à jour concernant Clearview  

10.03.2020 - Les autorités policières fédérales n'utilisent pas de logiciel de reconnaissance faciale.

Dans sa communication du 11.02.2020 (voir ci-dessous), le PFPDT a expliqué en détail pourquoi il considère que la collection de données faciales sans le consentement des intéressés constitue une atteinte à leur personnalité.

En réponse à notre enquête (voir ci-dessous), les directions de Fedpol, de l’AFD et du SRC ont confirmé qu'elles n'utilisent ni n'ont l'intention d'utiliser un logiciel tel que Clearview dans leurs activités. Toutefois, Clearview n'a pas encore répondu à la demande de renseignement et de suppression du Préposé datée du 24 janvier 2020, raison pour laquelle il a adressé un avertissement à l'entreprise.

 
 
 
 
 
 

Facebook lance de nouvelles fonctionnalités à l’occasion des élections fédérales

17.10.2019 - A partir du 19 octobre 2019, un jour avant les élections, Facebook lancera sur sa plateforme de nouvelles fonctionnalités pour les électeurs suisses.  L’entreprise l’a confirmé au Préposé fédéral à la protection des données et à la transparence (PFPDT), lequel se félicite des efforts de celle-ci en matière de transparence.

Ayant appris par les médias que Facebook avait l’intention de lancer différentes fonctionnalités, tel un bouton de vote, pour ses utilisateurs en vue des élections fédérales de 2019, le PFPDT a invité l’entreprise à prendre position.

Le PFPDT a rappelé dans sa lettre qu’en vertu notamment des ch. 5.3 et 7 de son guide, les opérateurs de réseaux sociaux sont également tenus d’informer les personnes concernées de manière juste et complète sur le traitement de leurs données et le fonctionnement des méthodes d’analyse utilisées. Cette transparence est indispensable pour que les électeurs puissent évaluer la manière dont les applications traitent leurs données et exercent une influence sur la formation de leur opinion ou leur comportement électoral.

Facebook Ireland Ltd. a confirmé que les fonctionnalités pertinentes seraient mises en service sur leur plateforme le jour précédant les élections et le jour de celles-ci. Facebook prévoit de rappeler la date de l'élection à tous les utilisateurs de Facebook âgés de 18 ans et plus en Suisse. L’entreprise ne ciblera pas des groupes ou des personnes en particulier.

Selon les garanties données par Facebook par écrit, les fonctionnalités offertes n’ont pas d’autre but que de sensibiliser ses utilisateurs aux élections et, en fin de compte, d’augmenter la participation, car les utilisateurs pourront par exemple poster dans leur profil qu’ils ont voté. Facebook souligne que les opinions politiques des utilisateurs ne seront pas traitées.

Facebook a par ailleurs démontré son respect des exigences en matière de transparence formulées dans notre guide. Les personnes concernées pourront s’informer de manière approfondie, au moyen d’hyperliens, sur les fonctionnalités, les méthodes de traitement et les données traitées (cf. liens suivants: Politique d’utilisation des données de Facebook; Contrôler qui peut voir ce que vous partagez; Pourquoi est-ce que je vois un rappel au sujet d’une élection et d’un vote sur Facebook ? Quelles données la plateforme Facebook utilise-t-elle pour présenter des informations relatives aux élections et aux collectivités publiques ?).

 
 

Différend fiscal américain - Le Tribunal administratif fédéral protège les droits fondamentaux 

10.09.2019 - Par jugement du 3 septembre 2019, le Tribunal administratif fédéral (TAF) a admis le recours du PFPDT contre la décision de l'Administration fédérale des contributions (AFC) et le Département fédéral des finances (DFF). Dans son arrêt, la Cour conclut que dans le domaine de l'assistance fiscale internationale, les personnes qui ne sont pas formellement concernées par la demande d'assistance administrative doivent en principe être informées à l'avance de la transmission de leur nom, conformément à la loi sur l'assistance fiscale.

Le tribunal suit donc la recommandation du PFPDT de caviarder ces noms et d'accorder le droit d'être entendu avant la transmission des données. Le Préposé se réjouit de ce jugement, car il protège les droits fondamentaux des employés des banques et d'autres tiers. Il s'attend maintenant à ce que l’AFC trouve des solutions conformes à la protection des données.

Le TAF ordonne aux autorités compétentes d'exécuter le jugement et de régler les exceptions de manière appropriée. L’arrêt n'est pas encore entré en force.

Arrêt du TAF (en allemand)

 
 
 
 
 
 
 

Postfinance : inégalité de traitement des clients suisses en vertu du droit en vigueur

30.08.2019 - Postfinance SA a confirmé par courrier le 13 juin 2019 que, pour ne pas être soumis à l’authentification par empreinte vocale, ses clients suisses devraient continuer de lui signifier expressément leur refus. Les clients étrangers doivent quant à eux donner expressément leur accord pour y être soumis. L’inégalité de traitement sur laquelle le PFPDT a attiré l’attention lors de l’émission de la SRF 10vor10 du 20 mai 2019 a dès lors encore cours aujourd’hui.

Postfinance SA a répondu au PFPDT que cette différence de traitement s’expliquait par le fait que les clients suisses n’étaient pas soumis au même droit que les clients étrangers et que seul le législateur pouvait décider de reprendre des normes étrangères en droit interne. Postfinance SA a affirmé qu’elle continuerait de traiter les clients suisses différemment aussi longtemps que le droit suisse de la protection des données n’aura pas été aligné sur les normes de l’UE.

 
 
 
 
 
 

26e Rapport annuel 2018/19: la Suisse doit maintenir son niveau de protection des données 

18.06.2019 - Le PFPDT attend que le Conseil fédéral et le Parlement garantissent à la popula-tion suisse un niveau de protection des données toujours équivalent à celui de l’Europe par la signature prochaine de la convention 108 du Conseil de l’Europe et l’adoption rapide de la révision totale de la loi sur la protection des données.

Communiqué aux médias

Télécharger le e-paper

 
 
 

Helsana+: le jugement entre en force

15.05.2019 - La décision du 19 mars 2019 du Tribunal administratif fédéral dans l’affaire Helsana+ n’a pas été attaquée pendant le délai de recours. Elle est donc définitive. Le Tribunal administratif fédéral s’est prononcé sur des questions de droit importantes. Le PFPDT suivra leur mise en œuvre par Helsana.

Communiqué du PFPDT

 
 
 
 

Journée de la protection des données 2019 - 3 priorités pour la Confédération et les cantons: élections, police, numéro AVS

28.01.2019 - Communiqué des autorités de protection des données de la Confédération et des cantons:

 

2e Journée du digital – Les entreprises doivent investir dans des technologies conformes aux exigences de la protection des données

23.10.2018 - Les entreprises doivent investir dans des technologies favorables au respect de la vie privée et proposer un véritable choix à leurs clients. Tel est le souhait du Préposé fédéral à la protection des données et à la transparence, à l’occasion de la 2e Journée suisse du digital. Il appelle les entreprises à mettre leur force d’innovation également au service de l’autodétermination de leurs clients.

Si les entreprises investissent énormément de capitaux dans la numérisation, il serait souhaitable, pour le Préposé fédéral à la protection des données et à la transparence Adrian Lobsiger, à l’occasion de la 2e Journée suisse du digital, qu’elles exploitent leur force d’innovation également aux fins d’assurer l’autodétermination à leurs clients. Ceux-ci doivent pouvoir décider eux-mêmes dans quel but leurs données peuvent être transmises et dans quel cas elles doivent rester confidentielles. Les entreprises doivent donc investir dans des technologies qui permettent de proposer un vrai choix aux utilisateurs.

Le PFPDT attend d’un État de droit démocratique qui collecte des données en grandes quantités qu’il garantisse la sphère privée et l’anonymat de ses citoyens et ne cherche pas à les identifier. En cas de doute, la liberté de l’individu doit l’emporter sur davantage de sécurité pour tous.

Ainsi, le Préposé fédéral à la protection des données et à la transparence appelle les entreprises et les pouvoirs publics à prendre acte de ces attentes pour des technologies respectueuses de la vie privée et à agir en conséquence. Il les invite à accompagner la croissance des données numériques à l’échelle mondiale d’investissements performants dans une structure assurant la conformité aux exigences de la protection des données.

25e Rapport annuel 2017/2018: l'autodétermination avant la sécurité

25.06.2018 - Le suivi des grands projets numériques demeure au cœur de l’activité du PFPDT. La loi e-ID fondant l’utilisation d’une SwissID, le rapport d’évaluation des risques liés à l’utilisation du numéro AVS comme identifiant personnel universel, les conditions d’utilisation de la billetterie électronique (billettique) ou des applications dans le domaine des transports publics illustrent cette priorité. En qualité d’autorité de surveillance, le PFPDT a dû intervenir contre le traitement de données relevant de l’assurance de base des caisses-maladie et faire face à des fuites de données dans plusieurs grandes entreprises.
Dans le domaine de la transparence, le PFPDT a été en mesure d’améliorer significativement l’efficacité de la procédure de médiation et a pris acte de la volonté unanime du Conseil national de garantir la transparence des marchés publics à l’avenir aussi, et de veiller ainsi à ce que le principe de la transparence ne soit pas foulé aux pieds.

Continuer...

Le Conseil national insiste sur la transparence dans les marchés publics

18.06.2018 - Le Conseil national a tenu à l’unanimité à maintenir les marchés publics dans le champ d’application du principe de la transparence. Cette décision s’est esquissée la dernière semaine de la session d’été lors de la discussion par article de la révision totale de la loi fédérale sur les marchés publics (LMP). Le Conseil national a ainsi refusé la limitation du principe de la transparence proposée dans le projet du Conseil fédéral.

Continuer...

Infrastructure ferroviaire: le parlement
décide l’exception à la loi sur la transparence

30.05.2018 - Après le Conseil national aussi le Conseil des États veut l’exclusion de l’activité de surveillance de l’Office fédéral des transports (OFT) en matière de sécurité de la loi sur la transparence et rejoint la position du Conseil fédéral. Le PFPDT prend note de cette décision.

Continuer... 

Decathlon Suisse – le PFPDT ouvre une procédure d’établissement des faits

07.05.2018 - Le PFPDT a noté que Decathlon Suisse exige pour tout achat de marchandises dans ses magasins que les clients communiquent certaines coordonnées. Suite à un premier échange de correspondance avec Decathlon Suisse, il est arrivé à la conclusion que le traitement de données par Decathlon nécessite un éclaircissement approfondi sur certains points. C’est pourquoi il a, en date du 3 mai 2018, ouvert une procédure d’établissement des faits selon l’art. 29 LPD.  

Affaire Facebook/Cambridge Analytica: procédures en cours dans l'UE et aux USA

12.04.2018 - Dans le cadre de l'application "This is your digital life" utilisée par un scientifique anglais, l'accès non autorisé aux données personnelles de clients peu méfiants de la plate-forme sociale Facebook s'est produit en 2015. Les données ont été traitées par Cambridge Analytica à l'approche des élections dans le but de ce que l'on appelle le microciblage afin de s'adresser spécifiquement aux électeurs potentiels avec des messages individuels. 

Continuer...

Rapport d'évaluation essai pilote procédure de médiation (2017)

10.04.2018 - Afin d’accélérer la procédure de médiation et de réduire le nombre de cas pendants, le PFPDT a mené un essai pilote au cours de l’année 2017. Le rapport d’évaluation montre que les mesures prises ont permis d’atteindre les objectifs fixés et que cet essai pilote a par conséquent été un succès. Au vu des résultats positifs, la nouvelle méthode sera intégrée dans la gestion ordinaire des procédures.

Continuer...

Sélection des arbitres pour le forum d'arbitrage en matière de protection des données selon le Swiss-US Privacy Shield - Premier appel à manifestation d'intérêt

Délai: 30 avril 2018

Continuer...

La Commission du CN veut continuer à garantir la transparence dans le cadre des marchés publics

28.03.2018 - La Commission de l’économie et des redevances du Conseil national (CER-N) a, le 27 mars 2018, clôt la discussion par article de la révision totale de la loi fédérale sur les marchés publics (LMP). Elle rejette la proposition du Conseil fédéral, qui prévoyait de supprimer l’accès aux documents relatifs aux marchés publics, tel que garanti par la loi sur la transparence. Avec cela, elle renforce l’objectif de transparence tel que prévu dans le projet de révision

Continuer...

Développement dans l’affaire Swisscom

12.02.2018 - Après avoir été informé le 9 février 2018 d'un cas d'accès prétendument non autorisé aux données d'un client de Swisscom, le PFPDT a requis que Swisscom prenne position le jour-même, en application de l'article 29 alinéa 2 LPD.

Les premières enquêtes de Swisscom n'ont pas confirmé de lien de causalité avec le vol de données signalé le 7 février 2018. Le PFPDT recherche des informations complémentaires auprès de Swisscom en ce qui concerne le risque de dommages indirects éventuels.

Accès indu à des coordonnées de clients chez Swisscom

Berne, 07.02.2018 – Swisscom a informé le PFPDT que des accès indus aux coordonnées d’environ 800‘000 clients ont eu lieu au cours de l’automne 2017. A sa connaissance, sont essentiellement concernés : le nom, le prénom, l’adresse, la date de naissance et le numéro de téléphone de titulaires privés de téléphones portables ainsi que de quelques abonnés au réseau fixe.  

Continuer...

Infrastructure ferroviaire: la Commission du Conseil national veut une exception à la loi sur la transparence

Berne, 18.01.2018 – La Commission des transports et des télécommunications du Conseil national a, le 16 janvier 2018, repris la discussion par article du projet «Organisation de l’infrastructure ferroviaire».  Dans ce cadre, la Commission a rejoint la position du Conseil fédéral et s’est exprimée en faveur d’une exclusion de l’activité de surveillance de l’Office fédéral des transports (OFT) en matière de sécurité de la loi sur la transparence. Le PFPDT prend note de cette décision.

Continuer...

Fuite de données dans une société de recouvrement de créances – le PFPDT ouvre une procédure

05.01.2018 - Selon un article publié dans le Süddeutsche Zeitung du 27 décembre 2017, l'entreprise de recouvrement EOS a été victime d'une fuite de données l'année dernière, au cours de laquelle plusieurs gigaoctets de données personnelles ont été transmises. Selon cet article, les patients de médecins suisses ont été particulièrement affectés. L'agence de recouvrement a informé le PFPDT de la fuite de données présumée peu avant la publication de l'article concerné. Afin de clarifier les aspects relatifs à la protection des données, le PFPDT a ouvert, en date du 28 décembre 2017, une procédure d’établissement des faits à l’encontre d’EOS Suisse.

En même temps, il rappelle aux médecins qu'ils ne peuvent transmettre à des tiers que les données de leurs patients qui sont effectivement nécessaires à la facturation ou au recouvrement. S'ils transmettent de manière injustifiée des données médicales de leurs patients à des tiers, ils sont punissables.  

La protection des données lors des campagnes politiques

19.10.2017 - Lors d'élections et de votations, les acteurs politiques recourent de plus en plus à des instruments numériques pour transmettre de manière plus ciblée leurs messages aux citoyens. Dans ce cadre, les partis politiques ainsi que les associations doivent préserver la vie privée des personnes concernées et respecter leur droit à l'autodétermination informationnelle. Le présent feuillet thématique du PFPDT expose les différentes règles de protection des données devant être respectées en cas d'utilisation de tels outils lors de votations et d'élections.

Utilisation du numéro AVS comme identifiant personnel: évaluation des risques

03.10.2017 - Afin d'approfondir davantage les risques spécifiques aux identificateurs, l'Office fédéral de la justice (OFJ) et le PFPDT ont conjointement donné un mandat externe en vue d'une évaluation des risques. Celle-ci devait préciser en particulier si des risques - et, le cas échéant, quel type de risques - peuvent survenir lors de l'utilisation du numéro AVS et d'identificateurs alternatifs. L'étude, menée par Monsieur David Basin, professeur de sécurité de l'information à l'EPF de Zurich, est maintenant accessible en ligne.

Le mandat d'effectuer une analyse des risques résulte du fait que, par le passé, le Parlement s'est trouvé confronté à plusieurs reprises à la question de l'utilisation du numéro AHV en tant qu'identifiant de personne en dehors du domaine de l'assurance sociale. Ce fut le cas dernièrement dans le cadre du projet de révision du registre foncier (14.034 CC. Enregistrement de l'état civil et registre foncier). La Commission des affaires juridiques du Conseil national procédera de nouveau à son examen à la fin d'octobre 2017. Auparavant, le 1er février 2017, le Conseil fédéral a donné le mandat d'élaborer un projet de loi dont l'objectif est de faciliter l'utilisation du numéro AVS par toutes les collectivités fédérales, cantonales et communales également en dehors du domaine des assurances sociales.

Évaluation des risques de l’utilisation du numéro AVS, résumé (en français) (PDF, 333 kB, 19.04.2018)

Évaluation des risques de l’utilisation du numéro AVS, chapitre 5 (en français) (PDF, 466 kB, 19.04.2018)

Externalisation de la facturation dans le domaine médical: les prestataires veulent mieux informer les patients

01.09.2017 -  Le PFPDT a écrit à la mi-août 2017 à deux entreprises qui assurent les opérations de facturation pour le compte de médecins afin de leur demander de faire un effort de transparence à l'égard de leurs patients, qui ne savaient pas toujours de quelle manière étaient traitées les données les concernant et si elles étaient transmises à des tiers. Ces deux entreprises, soit la Caisse des médecins et Swisscom Health, se sont déclarées disposées à mieux informer leurs patients, en publiant sur leur site Internet les règlements et autres éléments de contrat applicables aux différentes prestations concernées. Les deux entreprises soumettront prochainement au PFPDT les mesures qu'elles se proposent de mettre en œuvre pour atteindre cet objectif.

Externalisation dans le domaine médical: le Préposé exige plus de transparence

17.08.2017 - Dans le domaine de la santé, beaucoup de médecins confient la facturation des prestations à des sociétés spécialisées, comme la Caisse des Médecins ou Swisscom Health. Pour garantir la protection de la sphère privée, il est important que ces sociétés ne traitent les données des patients qu’aux fins prévues. Elles sont en outre tenues d’expliquer clairement ce qu’il advient des données transmises par les médecins.

À cet égard, le Préposé a constaté que la situation actuelle devait être améliorée. Pour renforcer la transparence pour les patients, il a demandé cette semaine aux sociétés de facturation de publier, conjointement avec les conditions générales et les règlements de traitement, les clauses-types concernant le traitement des données. En effet, ces clauses n’étaient jusqu’à présent que partiellement, voire pas du tout, publiées. Le Préposé se réserve d’examiner ultérieurement les clauses qui pourraient être problématiques du point de vue de la protection des données.

Externalisation de la facturation dans le domaine médical (24e rapport d'activités)

Sociétés d’informations sur la solvabilité: le Tribunal administratif fédéral protège la sphère privée des personnes concernées

11.05.2017 - Dans le cadre de la procédure engagée contre la société d'informations sur la solvabilité Moneyhouse, le Tribunal administratif fédéral a rendu une décision déterminante dans le contexte actuel de la numérisation, en imposant des limites claires à la mise en relation d'informations permettant l'établissement de profils ainsi qu'à leur publication.

Continuer...

Webmaster
Dernière modification 25.11.2022

Début de la page